Утилита предназначена для лечения компьютера, заражённого сетевым червём Net-Worm.Win32.Kido (информация с сайта программы)
Симптомы заражения в сети
# При наличии заражнных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
# Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-ov erflow.exploit.
# Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
# Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок: Ошибка активации. Процедура активации завершилась с системной ошибкой 2; Ошибка активации. Невозможно соединиться с сервером; Ошибка активации. Имя сервера не может быть разрешено.
Краткое описание семейства Net-Worm.Win32.Kido.< /p>
# Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<....>}RANDO M_NAME.vmx
# В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
# Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
# Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
# Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org,
http://getmyip.co.uk,
http://www.whatsmyipaddress.co m,
http://www.whatismyip.org,
http://checkip.dyndns.org
Способы удаления
Удаление сетевого червя производится с помощью специальной утилиты kk.exe.
Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
# Установить патч, закрывающий уязвимость MS08-067 (
http://www.microsoft.com/tech net/security/bulletin/MS08-067 .mspx), MS08-068 (
http://www.microsoft.com/tech net/security/bulletin/ms08-068 .mspx), MS09-001 (
http://www.microsoft.com/tech net/security/bulletin/ms09-001 .mspx).
# Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
# Отключить автозапуск исполняемых файлов со съемных носителей.
# Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.
Удаление сетевого червя утилитой kk.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.